안드로이드 생태계 노리는 악성 채굴 멀웨어, ADB.miner

안드로이드의 디버그 브리지 통해 접근, 통제권 장악한 후 채굴 시작
서로 다른 보안 업체들이 같은 연구 결과 내놓기도

[보안뉴스 문가용 기자] 악성 암호화폐 채굴 코드가 모바일로 번져가고 있다. 안드로이드 기기로 봇넷을 형성하는 멀웨어의 도움을 받아, 순풍에 날개 단 듯 뻗쳐가고 있다고 한다. 목표가 되고 있는 암호화폐는 바로 모네로(Monero).

[이미지 = iclickart]

안드로이드 기기로 봇넷을 만들고 동시에 채굴도 하는 이 멀웨어의 이름은 ADB.miner로 보안 업체 라드웨어(Radware)의 연구원들이 발견했다. 이미 여러 모바일 기기와 미디어 재생기, 스마트 TV 등에 침투해 있는 상태로, 상당한 속도로 기기 감염률을 높여가고 있다.

원격의 호스트가 안드로이드 디버그 브리지(Android Debug Bridge, ADB)의 통제 포트를 노출시키면, 이 멀웨어는 인터넷에 연결된 안드로이드 에뮬레이터로 인증 없이 설치, 시작, 리부트, 루트 셸 접근 권한을 가져갈 수 있게 된다고 라드웨어의 연구원들은 설명한다.

이 과정 이후에는 멀웨어의 일부인 xmrig 바이너리가 시작되는데, 이것이 바로 모네로를 채굴하는 코드다.

라드웨어의 포스팅에 의하면 이 멀웨어는 “안드로이드 SDK 플랫폼 툴들을 사용해 루트 셸 접근 권한을 얻어내며, CNXN 고정 문자열로 시작하는 모든 ADB 연결에도 접근하게 된다”고 한다. 현재 전 세계적으로 퍼져가고 있으며 상당 수 피해자들의 CPU 리소스와 전기세를 소비하고 있는데, 사실 공격자들 자신이 벌어들이는 돈은 아직 그리 크지 않다고 한다.

라드웨어의 분석가들은 5555번 포트에서의 활동이 급격히 증가하는 것을 이상히 여겨 분석하다가 ADB.miner의 존재에 대해 알게 되었다고 한다. 5555번 포트는 TR069/064 익스플로잇에 활용되는 것으로도 유명하다. 5555번 포트에서의 급격한 활동량 증가는 다른 보안 전문가들도 눈치를 챈 바 있다.

지난 6일 보안 업체 치후 360(Qihoo 360)에 소속된 넷랩(Netlab)의 전문가들 역시 이러한 활동을 발견하고 분석했는데, 그 결과 악성 코드가 웜 방식으로 빠르게 번져가고 있었고, 약 5000대의 기기들이 이미 감염되어 있음을 알아낼 수 있었다. 감염된 기기 대부분은 중국에 있었고(40%), 그 다음은 한국에 많았다(30%). 5555번 포트로의 트래픽이 시작된 건 2월 3일 오후 약 세 시부터였다. 그리고 자정 즈음에는 트래픽이 10배나 치솟았다고 한다.

넷랩의 발표에서 충격적이었던 건 사물인터넷 멀웨어 중 가장 악명이 높은 미라이(Mirai)의 코드가 일부 차용되었다는 것이었다. 해당 내용은 본지가 지난 6일 보도한 바 있다(http://www.boannews.com/media/view.asp?idx=66624&page=3&kind=1&search=title&find=).

한편 오늘 발표된 라드웨어의 연구 결과는 여기(https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/adb-miner/)서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)